Seguridad en sistema de usuarios.

Buenos dias...En mi web eh creado un sistema de usuarios que quisiera saber si puede que tenga algun agujero en la seguridad que me exponga a sql injection o lo que sea....

Primero obtengo los datos(user, pass) y los paso por htmlentities, despues la pass por md5, claro...

Y para comparar los datos, envezde hacerlo directamente en mysql lo hago asi:

Osea, primero obtengo los datos de ese usuario y despues los comparo:

Si esta todo bien, se crea la session.

Eso, para mis ojos esta bien y no tiene ninguna falla de seguridad, pero no soy muy experimentado ni tengo mucha idea de los diferentes tipos de sql injection que se pueden hacer, por eso recurro a uds.

Es una web algo grandesita asique preferiria no tener ningun cartelito de "Owned" por ahi...

Desde ya, gracias. Y si tienen alguna otra recomendacion que crean deba saber o link o lo que sea repecto a seguridad, bienvenido sea.

si le pones un nombre de usuario real.. y en el pass le pones
te deja entrar?

No, claro que no... el pass no se comprar en la consulta mysql, se compra por php mediante == ademas, antes de comprarlo se pasa por md5, asique por el pass no se podria poner ningun codigo "malicioso"

por lo personal lo encuentro bien.. osea mientras uses sql solo ingresando el user.. y lo demas lo trabajes del lado del servidor dudo que puedan entrar...

de todas formas no te aria mal quitarle los signos = con un str_replace al username.. uno nunca sabe el ingenio y ocio asen maravillas.. pero quitando el = ya repocas opciones de injection quedan asi que eso..
saludos!